Искусственный интеллект пока не может полностью заменить людей в сфере IT-технологий, в частности в разработке и защите приложений. К такому мнению пришли независимые эксперты на панельной дискуссии на фестивале AppSecFest, который состоялся 25 апреля в Алматы.
AppSecFest проводится уже в третий раз. На мероприятии собираются компании из IT-индустрии, DevSecOps-практики и эксперты по безопасности, чтобы обсудить передовые подходы к разработке и защите приложений, поделиться инновациями, инструментами и лучшими практиками.
Немало внимания на мероприятии уделили использованию искусственного интеллекта в подходах к защите приложений. В последние годы эта практика все больше входит в жизни AppSec-разработчиков ― это сокращает время работы над кодом. Однако все эксперты сошлись на мнении, что результат работы ИИ требует проверки, хотя эти процессы и упрощают жизнь.
На панельной дискуссии «AppSec: все, что вы хотели знать, но боялись спросить» был поднят вопрос о том, как скоро защищать и взламывать приложения будут только нейросети, а человек в этих процессах будет использоваться как некая отправная точка.
По мнению главного эксперта направления безопасности продуктов Freedom Holding Corp. Татьяны Коршиковой, несмотря на внедрение ИИ в процессы атаки на приложения и их защиты, сами принципы этих явлений не поменялись.
«Если смотреть на то, как это было раньше, игра в «кошки-мышки» была всегда. Ты придумал защиту, он придумал байпас (обход — прим.ред), ты придумал защиту от байпаса, он придумал байпас твоей защиты, и так далее. Эта гонка продолжается. Она будет продолжаться, даже если после ИИ придумают что-то ещё новое. Все равно будут злоумышленники, будут те, кто будет это дело защищать. Поэтому тут, наверное, будет меняться стратегия, будет меняться подход. И нужно задумываться над тем, что подход нужно менять уже сейчас», ― считает Коршикова
По мнению экспертки, сейчас важно задумываться над тем, какие ИИ-решения принимают в компаниях, и держать на контроле то, насколько они безопасны.
«Где-то на каком-то уровне абстракции мы можем сказать, что все это похожее и одинаковое. Но с точки зрения реализации? Для нас в принципе взаимодействие с языковой моделью, например, это новая штука. Так и атаки на них — тоже новые штуки. И тот факт, что языковая модель может вас обмануть ― это тоже новая штука. И галлюцинации ИИ уже использовали в атаках на разработчиков, и это не то чтобы новая штука, но это новое применение», ― считает экспертка.
По её словам, в компаниях нужно периодически поднимать вопрос о том, знают ли сотрудники, чем они пользуются, и понимать, безопасные это решения или нет.
В свою очередь экспертка по построению процессов безопасной разработки Светлана Газизова считает, что человек не скоро выпадет из процессов защиты и разработки приложений.
«Человек тут не уйдет, мне кажется, ещё лет 50 точно. По той простой причине, что все равно должен быть кто-то, кто будет процесс этот курировать, кто будет обучать ИИ-модели и так далее», ― объясняет Газизова.
По её опыту, работа с ИИ-моделями всегда требует корректировки от людей. С ней также согласился независимый эксперт Алексей Федулаев.
